Home Sociedad Cae bolsa de criptomonedas japonesa, víctima del ataque de backdoor macOS JokerSpy

Cae bolsa de criptomonedas japonesa, víctima del ataque de backdoor macOS JokerSpy

Un intercambio de criptomonedas desconocido ubicado en Japón fue el objetivo de un nuevo ataque a principios de este mes para desplegar un backdoor de macOS de Apple llamado JokerSpy.

Elastic Security Labs, que está monitoreando la intrusión establecida bajo el nombre REF9134, dijo que el ataque llevó a la instalación de Swiftbelt, una herramienta de enumeración basada en Swift inspirada en una utilidad de código abierto llamada SeatBelt.

JokerSky fue documentado por primera vez por Bitdefender la semana pasada, describiéndolo como un sofisticado conjunto de herramientas diseñado para vulnerar máquinas macOS.

Se sabe muy poco sobre el actor de la amenaza que está detrás de la operación, aparte del hecho de que los ataques aprovechan un conjunto de programas escritos en Python y Swift que vienen con capacidades para recopilar datos y ejecutar comandos arbitrarios en hosts comprometidos.

Un componente principal del conjunto de herramientas es un binario multiarquitectura autofirmado conocido como xcc, diseñado para comprobar los permisos FullDiskAccess y ScreenRecording.

El archivo está firmado como XProtectCheck, lo que indica un intento de hacerse pasar por XProtect, una tecnología antivirus integrada en macOS que utiliza reglas de detección basadas en firmas para eliminar malware de hosts ya infectados.

En el incidente analizado por Elastic, a la creación de xcc le sigue que el actor de la amenaza “intenta saltarse los permisos de TCC creando su propia base de datos TCC e intentando reemplazar la existente.”

El ataque iba dirigido a un gran proveedor de servicios de criptomoneda con sede en Japón que se centra en el intercambio de activos para el comercio de Bitcoin, Ethereum y otras criptomonedas comunes. No se ha revelado el nombre de la empresa.

El binario xcc, por su parte, se lanza mediante Bash a través de tres aplicaciones diferentes que se llaman IntelliJ IDEA, iTerm (un emulador de terminal para macOS) y Visual Studio Code, lo que indica que es probable que se utilicen versiones backdoored de aplicaciones de desarrollo de software para obtener el acceso inicial.

Otro módulo notable instalado como parte del ataque es sh.py, un implante de Python que se utiliza como conducto para entregar otras herramientas de post-explotación como Swiftbelt.